Upload
alex-machado
View
18
Download
3
Embed Size (px)
DESCRIPTION
Normas de Segunrança
Citation preview
Segurana e Auditoria de SistemasNormas de SeguranaAutarquia Educacional do Vale do So Francisco - AEVSFFaculdade de Cincias Aplicadas e Sociais de Petrolina - FACAPEProfa. Cynara [email protected]
Conceitos Antes de iniciar o estudo sobre as normas, devemos entender os conceitos referentes : Polticas (orientaes em conformidade com os objetivos de negcio); Regulamentaes (busca de conformidade com a legislao vigente); Baseline (nvel mnimo de proteo nos sistemas crticos); Diretrizes Em um contexto estratgico pode ser interpretado como aes ou caminhos a serem seguidos em determinados momentos. Orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos na poltica [ISO 17799] Procedimentos (instrues operacionais); Normas de Segurana da Informao
O que so e para que servem as normas? aquilo que se estabelece como medida para a realizao de uma atividade. Uma norma tem como propsito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou servio. Quais os problemas gerados pela ausncia de normas? Normas de Segurana da Informao
Normas de Segurana da Informao O que so e para que servem as normas? Conforme definido pela Associao Brasileira de Normas Tcnicas (ABNT), os objetivos da normalizao so: Comunicao: proporcionar meios mais eficientes na troca de informao entre o fabricante e o cliente, melhorando a confiabilidade das relaes comerciais e de servios; Segurana: proteger a vida humana e a sade; Proteo do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminao de barreiras tcnicas e comerciais: evitar a existncia de regulamentos conflitantes sobre produtos e servios em diferentes pases,facilitando assim, o intercmbio comercial.
Normas de Segurana da InformaoSurgimento das NormasEm outubro de 1967 foi criado um documento chamado Security Control for Computer System que marcou o passo inicial para criao de conjunto de regras para segurana de computadores.DoD tambm no ficou fora disto e teve grande participao na elaborao de regras.Em 1978 foi escrito Orange Book, conhecido tambm como Trusted Computer Evaluation Criteria por DoD. A verso final deste documento foi impresso em dezembro de 1985.
Normas de Segurana da InformaoO Orange Book considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos nveis de "segurana" pr-estipulados.
Surgimento das Normas
Normas de Segurana da InformaoEste esforo foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforo foi apresentado, que a norma internacional de Segurana da Informao "ISO/IEC-17799:2000", a qual j possui uma verso aplicada aos pases de lngua portuguesa, denominada "NBR ISO/IEC-17799.Surgimento das Normas
Normas de Segurana da InformaoDesenvolvimento de PadresPorque o desenvolvimento de padres e normas de segurana so importantes?Em que forma tais procedimentos ajudam em reduo e controle das vulnerabilidades existentes?
Normas de Segurana da InformaoA ISO 17799 um conjunto de recomendaes para gesto da SI para uso de implementao ou manuteno da segurana em suas organizaes.Providencia uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana.A ISO 17799 atua em segurana da informao considerando tecnologia, processos e pessoas. Esta norma publicada no Brasil pela ABNT com o cdigo NBR ISO 17799.NBR/ISO IEC 17799
Normas de Segurana da InformaoBreve histrico da ISO 17799A Associao Britnica de Normas tinha 2 normas referentes segurana de sistemas de informao: a BS 7799-1 e a BS 7799-2.A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799.A BS 7799-2 se referia especialmente ao processo de certificao do aspecto de segurana em organizaes e no foi submetida para o ISO.
Normas de Segurana da Informao1. Objetivo da norma2. Termos e definies3. Poltica de segurana4. Segurana organizacional5. Classificao e controle dos ativos de informao6. Segurana de pessoas7. Segurana fsica e do ambiente8. Gerenciamento de operaes e comunicaes9. Controle de acesso10. Desenvolvimento de sistemas.11. Gesto de continuidade de negcios12. ConformidadeDiversas partes da ISO 17799
Normas de Segurana da InformaoISO 17799 Segurana OrganizacionalInfraestrutura de segurana: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurana. Segurana no acesso de prestadores de servio: garantir a segurana dos ativos acessados por prestadores de servios.Segurana envolvendo servios terceirizados: deve-se incluir nos contratos de terceirizao de servios computacionais clusulas para segurana.
Normas de Segurana da InformaoISO 17799 Segurana de PessoasSegurana na definio e Recursos de Trabalho: Devem ser includas as preocupaes de segurana no momento da contratao de pessoas. Verificar os critrios de segurana no processo de seleo. Funcionrios devem assinar o acordo de confidencialidade.Treinamento dos usurios: educao, conscientizao e treinamento referentes a segurana.Mecanismos de Incidente de Segurana: Deve existir mecanismos para funcionrios poderem reportar possveis falhas.Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionrios que violaram os procedimentos de segurana.
Normas de Segurana da InformaoISO 17799 Segurana Fsica e de Ambientereas de segurana: prevenir acesso no autorizado, dano e interferncia nas instalaes fsicas. Isso inclui: definir um permetro de segurana, controles de entrada fsica, etc.Segurana de equipamento: convm proteger equipamentos fisicamente de ameaas e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteo contra falta de energia, segurana do cabeamento, definio de poltica de manuteno, proteo a equipamentos fora das instalaes.Controles gerais: Por exemplo proteo de tela com senha para evitar que informao fique visvel em tela, deve-se ter uma poltica quanto a deixar papis na impressora por muito tempo, etc.
Normas de Segurana da InformaoISO 17799 Controle de Acesso (1)Gerenciamento de acesso dos usurios:Registro do usurio: ID nica para cada usurio, pedir assinatura em termo de responsabilidade, remover usurio assim que o funcionrio sair da empresa .Gerenciamento de privilgios: aqui entra o controle de acesso baseado em papis; basicamente, se recomenda que usurios tenham apenas os privilgios necessrios para fazer seu trabalho.Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha secreta e no deve ser divulgada, senhas temporrias devem funcionar apenas uma vez.Anlise crtica dos direitos de acesso do usurio: deve-se analisar os direitos de acesso dos usurios com freqncia de 6 meses ou menos.
Normas de Segurana da InformaoISO 17799 Controle de Acesso (2)Responsabilidades dos usurios:Senhas: segundo norma, usurio deve zelar pela sua senha e criar uma senha considerada aceitvel (mnimo de 6 caracteres).Equipamentos sem monitorao: Usurios deve tomar os cuidados necessrios ao deixar um equipamento sem monitoramento, com sees abertas.
Normas de Segurana da InformaoISO 17799 Controle de Acesso (3)Controle de Acesso ao SO Controle de acesso ao sistema operacional: Identificao automtica de terminal: nos casos onde deve-se conhecer onde um usurio efetua logon.Procedimentos de entrada no sistema (logon). Sugestes como: limitar o nmero de tentativas erradas para o logon e no fornecer ajuda no processo de logon, entre outros.Identificao de usurios: a no ser em casos excepcionais cada usurio deve ter apenas um ID. Considerar outras tecnologias de identificao e autenticao: smart cards, autenticao biomtrica.Sistema de Gerenciamento de Senhas: Contm os atributos desejveis para sistema que l, armazena e verifica senhas.
Normas de Segurana da InformaoISO 17799 Controle de Acesso (4)Controle de Acesso s aplicaesRegistro de Eventos: Trilha de auditoria registrando excees e outros eventos de segurana devem ser armazenados por um tempo adequado.Monitorao do Uso do Sistema: Os procedimentos do monitorao do uso do sistema devem ser estabelecidos. Uma anlise crtica dos logs deve ser feita de forma peridica.Sincronizao dos Relgios: Para garantir a exatido dos registros de auditoria.
Normas de Segurana da InformaoISO 17799 Controle de Acesso (5)Computao MvelUsurios de equipamentos mveis devem ser conscientizados das prticas de segurana, incluindo senhas, criptografia entre outros.
Normas de Segurana da InformaoISO 17799 Gesto de Continuidade de NegciosDeve-se desenvolver planos de contingncia para caso de falhas de segurana, desastres, perda de servio, etc.Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingncia devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omisses ou mudana de equipamento ou pessoal.
Normas de Segurana da InformaoISO 17799 Componentes do Plano de Continuidade de Negcioscondies para a ativao do plano;procedimentos de emergncia a serem tomados;procedimentos de recuperao para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros;procedimentos de recuperao quando do estabelecimento das operaes;programao de manuteno que especifique quando e como o plano dever ser testado;desenvolvimento de atividades de treinamento e conscientizao do pessoal envolvido;designao de responsabilidades.
Normas de Segurana da InformaoISO 17799 ConformidadeConformidade com Requisitos Legais: Para evitar a violao de qualquer lei, estatuto, regulamentao ou obrigaes contratuais. Evitar a violao de Direitos Autorais dos aplicativos.Anlise Crtica da Poltica de Segurana e da Conformidade Tcnica.Consideraes referentes Auditoria de Sistemas.
Normas de Segurana da InformaoBS 7799-2O BS 7799-2 a segunda parte do padro de segurana ingls cuja primeira parte virou o ISO 17799.O BS 7799-2 fala sobre certificao de segurana de organizaes; isto , define quando e como se pode dizer que uma organizao segue todo ou parte do ISO 17799 (na verdade do BS 7799-1).
Normas de Segurana da InformaoISO 15408Vrios pases (EUA, Canad, Frana, Inglaterra, Alemanha, etc) estavam desenvolvendo seus padres para sistemas seguros (mas no militares). Nos EUA o padro se chamava TCSEC (Trusted Computer System Evaluation Criteria), no Canad CTCPEC, etc. Os pases europeus decidiram unificar seus critrios, criando o Information Technology Security Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificao do padro europeu e norte americano, criando- se assim o Common Criteria (CC). A verso 2.1 do CC se tornou o ISO 15408.
ISO 15408 um conjunto de trs volumes:Primeiro discute definies e metodologia;Segundo lista um conjunto de requisitos de segurana;Terceiro fala de metodologias de avaliao.Diferente do 17799, 15408 um CC para definir e avaliar requisitos de segurana de sistemas e no de organizaes.
Normas de Segurana da Informao
Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 27001. Ttulo: Information Security Management Systems- Requirements. Aplicao: Esta norma aplicvel a qualquer organizao, independente do seu ramo de atuao, e define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao. A ISO IEC 27001 a norma usada para fins de certificao e substitui a norma Britnica BS7799-2:2002. Portanto, uma organizao que deseje implantar um SGSI deve adotar como base a ISO IEC 27001. Situao: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.
Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 27002 Ttulo: Information Technology - Code of practice for information Security Management. Aplicao: Norma aprovada e publicada pela ISO em Genebra, em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24 de agosto de 2005. Situao: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27002 no primeiro trimestre de 2006.
Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 1 st WD 27003. Ttulo: Information Security Management Systems-Implementation Guidance. Aplicao: Este projeto de norma tem como objetivo fornecer um guia prtico para implementao de um Sistema de Gesto da Segurana da Informao, baseado na ISO IEC 27001. Situao: Este projeto de norma encontra-se em um estgio de desenvolvimento, denominado de WD-Working Draft. A previso para publicao como norma internacional 2008-2009.
Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 2nd WD 27004. Ttulo: Information Security Management-Measurements. Aplicao: Este projeto de norma fornece diretrizes com relao a tcnicas e procedimentos de medio para avaliar a eficcia dos controles de segurana da informao implementados, dos processos de segurana da informao e do Sistema de Gesto da Segurana da Informao. Situao: Este projeto de norma encontra-se em um estgio onde vrios comentrios j foram discutidos e incorporados ao projeto. A previso para publicao como norma internacional 2008-2009.
Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 2nd CD 27005. Ttulo: Information Security Management Systems- Information Security Risk Management. Aplicao: Este projeto de norma fornece diretrizes para o gerenciamento de riscos de segurana da informao. Situao: Este projeto de norma j se encontra em um estgio mais avanado, pois vem sendo discutido h mais de dois anos. A previso para publicao como norma internacional 2007. (Publicada em julho de 2008).
Normas de Segurana da Informao Viso Geral da famlia ISO 27000 Nmero: ISO IEC 2nd CD 27006. Ttulo: Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems.
Aplicao: Norma de requisitos para a credibilidade de organizaes que oferecem servios de certificao de sistemas de gesto da SI. Situao: Publicada em 2007.